Re: Verschlüsselung auf einem Share
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Martin Marcher wrote:
> Hallo,
Moin!
Vorweg: deine reply-to email ist kaputt.
> ich möchte in ein paar entfernten Standorten jeweils eine Hardware Box
> aufstellen (vermutlich eines dieser Soekris Boards) die ein Share vom
> einer Zentralen Stelle aus zur Verfügung stellt.
>
> Ganz einfach per NFS die shares zu mounten kommt imho nicht in Frage
> da weitere anforderungen bestehen:
>
> * Tansparent für die User (die sollen nichts von der Verschlüsselung
> sehen, performance mal aussen vor gelassen)
> * Jede Box soll nur auf das zugewiesene Share zugreifen können.
> * Box A <-> ServerShare A
> * Box B <-> ServerShare B
> * am Server sollte es keine Möglichkeit geben auf die Inhalte von den
> einzelnen Shares zuzugreifen (das heisst die Standorte legen die Daten
> bereits verschlüsselt ab)
>
> Was mir dabei in den Sinn kommt wäre zB
>
> AFS
> scheint mir geeignet da laut dem was ich gelesen habe das ganze auch
> für disconnected operations ausgelegt ist.
Ähm, falls Du openAFS meinst: jein. Schreiben auf gar keinem Fall,
lesend ggf. nur das,was im Cache ist. Und der Cahce ist Chunk-basiert,
NICHT filebasiert. Ergo meistens nein, es sei denn es ist ein großer Cache.
Bei OpenAFS hat man aber eher das Szenario:
2-10 Fileserver "irgendwo" und x Clients, die den AFS Clienten
installiert haben und so direkt auf die Daten zugreifen (gesichert mit
user/Pass und Transportverschlüsselung).
Falls Du wirklich ein dezentrales System hast, extra Server hast und
deinen Usern OpenAFS als Client geben kannst, lohnt das.
Und falls ein Server ausfällt, kann der 2. Server noch eine read-only
Kopie bereithalten.
Bei mehr Fragen, ich stehe bereit.
> Was mir auch nocht Probleme macht ist wie man das grundsätzlich angeht
> das eine eindeutige zuordnung zwischen share N und Box N da ist, am
> besten so das Box N nicht einmal weiss bzw. es nicht einmal möglich
> ist dsas Box N auf ein share Nk zugreift.
Im OpenAFS kann der Admin di eZuordnung Daten/Server festlegen/verwalten
und die User wissen davon nichts.
> Ausserdem ist mir noch unklar wie ich es anstelle dass die Daten die
> am share liegen wirklich nur von dieser Box abrufbar sind. Mir kommt
> da sowas in den sinn wie eine SmartCard in die Box zu geben auf der
> ein schlüssel hinterlegt ist und eventuell das ganze dann zu mounten
> und transparent zu entschlüssel, lokal gibts da ja truecrypt soweit
> ich bisher weiss bzw. dm-crypt (lokal auch noch nie gemach aber ich
> werd mich mal informieren).
Wie wäre ein VPN mit NFS und shares für die einzelnen Abteilungen?
> Gibt es eventuell fertige Pakete die das können oder was wäre eine
> entsprechende Mischung aus Paketen die sowas kann (nach entsprechender
> Konfig eben).
Für OpenAFS ja ;-)
Sry, aber ich nutze hier eigentlich nur OpenAFS und habe somit wenig
Ahnung vom Rest. Für uns ist OpenAFS die beste Lösung (wenn auch mit
kleinen Fehlern, an denen aber gearbeitet wird).
Für dich könnte ich mir OpenAFS auch vorstellen:
1. 2-4 Server (Datenbank/fileserver) dort, wo es passt (root server oder
ähnliches)
2. krb5-server zur Userverwaltung
3. Jede Abteilung eine Gruppe, jeder User im AFS
4. Zugriffsberechtigung mittels ACLs auf den AFS dirs, Gruppen und
Userbasiert
Clients hats für Linux, Win, Mac,...
Problem wird nur sein, wenn die Anbindung weg ist, dann ist kein
Schreiben möglich. (ist halt ein Netzwerkfilesystem).
> Danke
> martin
MfG,
Lars Schimmer
- --
- -------------------------------------------------------------
TU Graz, Institut für ComputerGraphik & WissensVisualisierung
Tel: +43 316 873-5405 E-Mail: l.schimmer@cgv.tugraz.at
Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHCMGmmWhuE0qbFyMRApQlAJ4o35lVkhVNS1MYhSZM0aZr1mKGIgCfQ/yq
RIDZhFY5nme2Pv4chv0BNgQ=
=nd6o
-----END PGP SIGNATURE-----
Reply to: